不正請求相次ぐiTS→林檎「業界最高水準」
消費者庁質問:
iTunesStoreでは、顧客のID・パスワード情報、クレジット情報を等を保護するために
どのような努力が払われているのか
iTS(アップル)回答:
利用者様の個人情報の保護のために弊社が使用している技術及びプロセスは、世界的
に見て業界最高水準であると考えております。弊社のポリシーは、アップルのプライバシー
ポリシー及びiTunesの利用条件に記載されております。業界大手の事業者として、弊社は、
PCIデータセキュリティスタンダード(PCIDSS)の高いレベルでの遵守が求められております。
弊社は毎年、独立した第三者である認定審査機関(QSA)によるシステムの検査を受けており、
かかる評価において、弊社は、基準に照らし不遵守事項の指摘を受けておりません。
*PCIDSSというのはクレジットカード会社連合が制定したセキュリティ基準
これに適合することで「この会社は高度なセキュリティを備えている」と
いわばカード会社がお墨付きを与える代物。
また、その審査には高度な専門知識を備えた「認定セキュリティ機関」(QSA)現在国内5社)が
第三者機関としてセキュリティのチェックの任にあたる。
そしてその「”カード会社自身が定めた高度なセキュリティ基準”で評価される中で
うちの会社(iTS)は文句を言われたことがありません」と答えているわけだ。
iTunesStoreでは、顧客のID・パスワード情報、クレジット情報を等を保護するために
どのような努力が払われているのか
iTS(アップル)回答:
利用者様の個人情報の保護のために弊社が使用している技術及びプロセスは、世界的
に見て業界最高水準であると考えております。弊社のポリシーは、アップルのプライバシー
ポリシー及びiTunesの利用条件に記載されております。業界大手の事業者として、弊社は、
PCIデータセキュリティスタンダード(PCIDSS)の高いレベルでの遵守が求められております。
弊社は毎年、独立した第三者である認定審査機関(QSA)によるシステムの検査を受けており、
かかる評価において、弊社は、基準に照らし不遵守事項の指摘を受けておりません。
*PCIDSSというのはクレジットカード会社連合が制定したセキュリティ基準
これに適合することで「この会社は高度なセキュリティを備えている」と
いわばカード会社がお墨付きを与える代物。
また、その審査には高度な専門知識を備えた「認定セキュリティ機関」(QSA)現在国内5社)が
第三者機関としてセキュリティのチェックの任にあたる。
そしてその「”カード会社自身が定めた高度なセキュリティ基準”で評価される中で
うちの会社(iTS)は文句を言われたことがありません」と答えているわけだ。
|
|
|
事実、カード会社連合のこのPCIDSSというセキュリティ基準は
データの取り扱い、個人情報の保護、緊急時の対応マニュアルを含むきわめて厳しいもので、
過去、情報漏えいを起こした会社がカード会社と取引を再開する条件として
これの適合チェックに通ることを条件にされたような強力なもの。
事実上、日本で現在ネットショップに要求される中で一番キツイ基準だと思っていい。
だからiTSは「うちはPCIDSSの基準をクリアして監査で文句を言われたこともありません、
業界最高水準です」と答えて消費者庁担当者が理解できるだろうと思っている。
で、それに対する消費者庁の再質問
消費者庁:
4 照会事項3について
「毎年、独立した第三者である認定審査機関(QSA)によるシステム検査を
受けている」旨をご回答いただいたところであるが、QSAとはどのような機関であり
どのような検査が行われているのか。また評価内容はどのようなものか。
…( ゚д゚)( ゚д゚)( ゚д゚)
セキュリティに対して「貴社での扱いはどうなってるのか?」と聞かれたから
「最高水準の監査に文句なしに合格しています」と答えたら
「え?その…それナニ? おい、もっと教えろ!」って質問してきたぞ??
大丈夫か、消費者庁? 担当は脳味噌の替わりにコンニャクゼリーが詰まってんじゃね?コレ
データの取り扱い、個人情報の保護、緊急時の対応マニュアルを含むきわめて厳しいもので、
過去、情報漏えいを起こした会社がカード会社と取引を再開する条件として
これの適合チェックに通ることを条件にされたような強力なもの。
事実上、日本で現在ネットショップに要求される中で一番キツイ基準だと思っていい。
だからiTSは「うちはPCIDSSの基準をクリアして監査で文句を言われたこともありません、
業界最高水準です」と答えて消費者庁担当者が理解できるだろうと思っている。
で、それに対する消費者庁の再質問
消費者庁:
4 照会事項3について
「毎年、独立した第三者である認定審査機関(QSA)によるシステム検査を
受けている」旨をご回答いただいたところであるが、QSAとはどのような機関であり
どのような検査が行われているのか。また評価内容はどのようなものか。
…( ゚д゚)( ゚д゚)( ゚д゚)
セキュリティに対して「貴社での扱いはどうなってるのか?」と聞かれたから
「最高水準の監査に文句なしに合格しています」と答えたら
「え?その…それナニ? おい、もっと教えろ!」って質問してきたぞ??
大丈夫か、消費者庁? 担当は脳味噌の替わりにコンニャクゼリーが詰まってんじゃね?コレ
監査項目と内容は公開規格だから別に秘密でもなんでもない
PCIDSSでググれば
本家公式も
About the PCI Data Security Standard (PCI DSS)
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
Wikipediaもひっかかるような代物
・PCIデータセキュリティスタンダード
http://ja.wikipedia.org/wiki/PCIデータセキュリティスタンダード
どのような努力を払っているのか?と質問する奴が、こういう努力ですって答えて
その回答が理解できないってどんだけよ。インターネットのしくみから説明しなきゃダメなのか?
PCIDSSでググれば
本家公式も
About the PCI Data Security Standard (PCI DSS)
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
Wikipediaもひっかかるような代物
・PCIデータセキュリティスタンダード
http://ja.wikipedia.org/wiki/PCIデータセキュリティスタンダード
どのような努力を払っているのか?と質問する奴が、こういう努力ですって答えて
その回答が理解できないってどんだけよ。インターネットのしくみから説明しなきゃダメなのか?